Политика повышения осведомленности в вопросах информационной безопасности сотрудников
1. Утверждаю
Председатель Правления
АКБ «БАНК»
___________И.О. Фамилия
ПОЛИТИКА
повышения осведомленности в вопросах
информационной безопасности сотрудников
АКБ «БАНК»
Москва 2011 г.
2. 1 Нормативные ссылки
Федеральный закон «О банках и банковской деятельности» от 01.12.1990 №
395 в редакции Федерального закона от 03.02.1996 № 17 ФЗ, от 31.07.1998
№ 151 ФЗ, от 05.07.1999 № 126 ФЗ, от 08.07.1999 № 136 ФЗ, от 19.06.2001 №
82 ФЗ, от 07.08.2001 №121 ФЗ, от 21.03.2002 № 31 ФЗ с изменениями,
внесенными постановлением Конституционного суда РФ от 23.02.1999 № 4;
Федеральный закон «О Центральном банке Российской Федерации (Банке
России)» от 10 июля 2002 г. № 86 ФЗ;
Федеральный закон «Об информации, информационных технологиях и о
защите информации» от 27 июля 2006 г. № 149 ФЗ;
Стандарт Банка России «Обеспечение информационной безопасности
организации банковской системы Российской Федерации. Общие
положения» СТО БР ИББС-1.0-2010;
ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности.
системы менеджмента информационной безопасности. Требования»;
ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства
безопасности. Практические правила менеджмента информационной
безопасности».
2
3. 2 Обозначение и сокращения
ДИБ: Департамент информационной безопасности;
ДИТ: Департамент информационных технологий;
КИС: Корпоративная информационная система «Название»;
ИТ: Информационные технологии;
ИБ: Информационная безопасность.
3
4. 3 Общие положения
Настоящая политика рассматривает вопросы обнаружение и реагирования на
инциденты информационной безопасности в АКБ «БАНК» (далее Банк).
Настоящая политика разработана для повышения уровня ИБ в Банке.
Настоящая политика разработана в соответствии с требованиями Стандарта Банка
России «Обеспечение информационной безопасности организации банковской системы
Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010.
В Банке должны быть документально определены роли по разработке, реализации
планов и программ обучения и повышения осведомленности в области ИБ и по контролю
результатов, а также назначены ответственные за выполнение указанных ролей.
Настоящая политика обязательна для применения во всех территориальных
подразделениях Банка.
4
5. 4 Инструктаж
ДИБ должен разработать методику, состав и порядок проведения инструктажа ИБ
для сотрудников Банка.
Все сотрудники Банка должны в обязательном порядке пройти инструктаж по ИБ,
включающий в себя ознакомление с основными направлениями возможных угроз ИБ,
которые могут возникать во время работы сотрудников в Банке.
Для вновь начинающих работать сотрудников Банка инструктаж по ИБ должен
проводиться в течение первых трех рабочих дней с начала работы. Также все вновь
начинающие сотрудники Банка должны ознакомиться под роспись с правилами
внутреннего распорядка Банка и правилами ИБ для сотрудников Банка;
Для уже работающих сотрудников Банка всеми руководителями Управлений Банка
должен быть разработан план-график, согласно которому сотрудники Банка должны
проходить первый инструктаж по ИБ.
Проведение инструктажей по ИБ должны организовываться на регулярной основе
не реже 1 раза в год.
Для проведения инструктажей по ИБ ДИБ должен разработать журнал учета
проведения инструктажей ИБ. Факт проведения инструктажа ИБ в обязательном порядке
фиксируется в журнале инструктажей ИБ под роспись сотрудника Банка, для которого
проводится данный инструктаж по ИБ.
5
6. 5 Организация обучения персонала
В Банке приветствуются процессы, направленные по постоянное повышение
уровня знаний, навыков и квалификации для сотрудников Банка.
Расходы на проведение обучения должны закладываться в соответствующие
статьи расходов и отражаться в бюджетах ДИТ, ДИБ на каждый календарный год.
Ежегодно руководители отделов ДИТ Банка должны определять курсы,
соответствующие решаемым задачам отделов, составлять графики прохождения курсов
своими сотрудниками и направлять их в ДИБ на согласование.
Ежегодно руководители отделов ДИБ Банка должны определять курсы,
соответствующие решаемым задачам отделов, составлять графики прохождения курсов
своими сотрудниками.
Для повышения уровня осведомленности сотрудников Банка, ранга уровня
руководителей отделов и выше, ДИБ должен разработать программу курсов по вопросам
ИБ.
ДИБ должен подготовить график обучения сотрудников Банка, ранга уровня
руководителей отделов и выше и организовать их обучение.
6
7. 6 Повышение осведомленности персонала
Для повышения осведомленности сотрудников Банка ДИБ должен разработать
обучающие материалы по вопросам ИБ.
ДИБ Банка совместно с ДИТ должен разработать соответствующий раздел на
корпоративном сайте («название») и проводить его обновление (актуализацию
информации) на регулярной основе.
ДИБ должен осуществлять мониторинг средств массовой информации (новостные
ленты, аналитические материалы, специализированные форумы и блоги, печатную
информацию, другие материалы).
ДИБ должен доводить информацию о возможных угрозах ИБ до сотрудников ДИТ,
ДИБ, а также других заинтересованных подразделений путем проведения
централизованных рассылок информационных сообщений по средствам электронной
почты или КИС.
7
8. 7 Контроль
ДИБ должен принимать участие в деятельности, направленной на проведение
проверок реагирования сотрудниками Банка на факты, подталкивающие к нарушению
политик и основ ИБ, такими методами как проведение рассылок писем сомнительного
содержания, рассылок писем «счастья», телефонных звонков, другими методами
социальной инженерии.
ДИБ должен отслеживать эффективность положений настоящей политики, в том
числе путем количественного и качественного анализа последовавших действий
сотрудников Банка, в ответ на подстрекающие мероприятия ДИБ. Данная деятельность
ДИБ не должна расцениваться в качестве нарушения собственных политик ИБ Банка, а
должна быть направлена лишь на организацию контроля.
Ежегодно ДИБ должен подготавливать и предоставлять отчет о ведущейся и
проделанной работе ТОП-менеджеру, курирующему деятельность ДИБ в Банке.
8
9. 8 Ответственность
За нарушение правил ИБ все сотрудники Банка, включая руководителей отделов,
начальников Управлений и Департаментов Банка несут персональную ответственность в
соответствии с правилами трудового распорядка и действующим законодательством.
9